Internet Watch logo
記事検索
最新ニュース

全文検索システム「Namazu」に脆弱性、最新版ですでに修正済


 JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同運営する脆弱性対応状況の公開サイト「JVN」は15日、日本語全文検索システム「Namazu」のバージョン2.0.13以前にクロスサイトスクリプティングの脆弱性があることを公開した。15日には脆弱性の問題を修正した「Namazu 2.0.14」が公開されている。

 今回公表された脆弱性は、namazu.cgiの検索文字列としてタブ(%09)から始まる文字列を指定することにより、後続部分の文字が正しく処理されず、クロスサイトスクリプティングの脆弱性が発生するもの。これにより、Webサイト上でnamazu.cgiを使用して検索処理を実現している全てのサイトで、クロスサイトスクリプティングの脆弱性が存在し、ページ内容の改竄、Cookie情報の奪取などが可能になるとしている。

 この脆弱性については、すでに開発を行なっているNamazu Projectにより、問題を修正した「Namazu 2.0.14」が公開されている。


関連情報

URL
  脆弱性情報(JVN)
  http://jvn.jp/jp/JVN%23904429FE.html
  全文検索システム Namazu
  http://www.namazu.org/


( 三柳英樹 )
2004/12/15 21:02

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2004 Impress Corporation, an Impress Group company. All rights reserved.